Siguiendo una guia vuestra que deber ser antigua me a salido esto que pongo debajo, solo es saber si es asi o no y si sigo entrandop igual al wordpress de ser así:
Archivos que comprometen la seguridad de WordPressen archivo .htaccess de cocheritas eu al final pongo # proteger wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
# proteger htaccess <files .htaccess> order allow,deny deny from all </files>
Contenido solo visible a usuarios registrados
Respondido : 14/04/2025 6:45 pm
Argenis
Soporte CMS WebempresaModerator
Hola Jesus,
Esas líneas siguen siendo válidas sin embargo ten en cuenta de colocarlas al final del todo en el archivo .htaccess, si llegas a no poder ingresar a tu sitio solo tienes que eliminarlas y dejarlo como estaba. Ten en cuenta que de por sí los servidores de webempresa cuentan con una seguridad para que no tengas que agregar estos códigos.
Que buscas exactamente al agregar esto?
Un saludo 🖐️
Respondido : 14/04/2025 6:56 pm
Jesus
Prominent Member
@argenisRealmente en un wp-doctor que teneís de hace tiempo, salen 6 fallos, en las capturas de pantallla
Le pase esta herramenta vuestra al dar ese fallo digo lo corrigo, no miré que la herramienta es de 2015, se que de cabeceras no ando muy bien, pues digo corrigelas, si ves no hace falta ninguna cosa me lo dices y cerramos
Respondido : 15/04/2025 1:51 pm
Karen Rios
Soporte CMS WebempresaModerator
Hola Jesus,
En este caso el mensaje que indica es que hacen falta unas cabeceras de seguridad, para solucionarlo puedes añadir el siguiente codigo en el archivo .htaccess
## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff"
# Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod"
# Control Cross-Domain Policies Header set X-Permitted-Cross-Domain-Policies "master-only"
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Es muy importante que tengas sumo cuidado con la cabecera de Content Security Policy, ten en cuenta que esta cabecera suele generar algunos conflictos y hace la web innacesible
Verifica esto y nos comentas como va todo
Un Saludo
Respondido : 15/04/2025 2:05 pm
Jesus
Prominent Member
@karenPonerlas no creo haya ningún problema, pero me dices hace la web inaccesible, pero te refieres a si lo pongo mal, o se hace inaccesible aunque lo haga bien. Pues entonces no creo convenga. Si o No es suficiente. Y todo lo demás ¿lo pongo o lo olvido?.
El wp_doctor es de 2015 según me digas la pongo o no y las otras igual
Respondido : 16/04/2025 9:33 am
Pepe
Soporte CMS WebempresaAdmin
Hola Jesus.
Si, añade lo siguiente al final del archivo .htaccess:
## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff"
# Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod"
# Control Cross-Domain Policies Header set X-Permitted-Cross-Domain-Policies "master-only"
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Un saludo
Respondido : 16/04/2025 11:01 am
Jesus
Prominent Member
@pepesolerHe puesto lo que me habeís dicho y le he dado a sabe pero parece no se puede. Adjunto captura de pantalla, si no le hace daño a la web que parece esta bien, ¿Lo dejo así?.
Respondido : 16/04/2025 6:00 pm
Jesus
Prominent Member
Esto es lo que he puesto y lo que entiendo poe al final es que no se puede, la web esta lo mismo si no le va a pasar nada ¿lo dejo así?. le di a guardar.
Respondido : 16/04/2025 6:03 pm
Karen Rios
Soporte CMS WebempresaModerator
Hola Jesus,
Entiendo con eso que haz añadidos los codigos que compartio Pepe?, ya que veo que estas cabeceras están añadidas
Lo que si veo es que tienes aún error en la cabecera de Cabecera XSS, para solucionarlo puedes probar añadir el codigo que se menciona en nuestra siguiente guía → https://www.webempresa.com/blog/cabecera-x-xss.html
Por otro lado la cabecera Cabecera Content-Security-Policy; sin embargo, debes tener en cuenta lo que se menciona en el mensaje (Implementar estas cabeceras puede dañar tu web si no se hace correctamente, si tienes dudas consulta con un experto)
Esto es lo que he puesto y lo que entiendo poe al final es que no se puede, la web esta lo mismo si no le va a pasar nada ¿lo dejo así?. le di a guardar.
Respondido : 17/04/2025 1:16 pm
Jesus
Prominent Member
Esto está adjuntado ,la web parece sigue bien debajo ponia, si quería adjuntar otra cabecera pusiera el codigo que pongo debajo, este lo pongo o cerramos tema
add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
} por este es por el que pretungo si pongo y el de arriba es el que he puesto ya me dicen?
Respondido : 17/04/2025 1:20 pm
Bruno
Soporte CMS WebempresaModerator
Hola Jesus,
He revisado tu sitio desde WP Doctor y diría que no modifiques mas tu archivo de .htaccess para evitar conflictos con tu sitio web, de momento todo esta en orden
